次の表に、すべてのドライブの種類に適用できる BitLocker ポリシーの一覧を示します。構成サービス プロバイダー (CSP) やグループ ポリシー (GPO) を使用して適用できるかどうかを示します。 詳細については、ポリシー名を選択してください。
標準ユーザー暗号化を許可する
このポリシーを使用すると、現在ログオンしているユーザーに管理者権限がない場合にポリシーが適用されるシナリオに対して[ デバイス暗号化を要求 する]ポリシーを適用できます。
回復パスワードの既定のフォルダーを選択する
BitLocker ドライブ暗号化のセットアップ ウィザードで、回復パスワードを保存するフォルダーの場所の入力を求めるメッセージが表示される既定のパスを指定します。 完全修飾パスを指定するか、ターゲット コンピューターの環境変数をパスに含めることができます。
- パスが有効でない場合は、BitLocker セットアップ ウィザードにコンピューターの最上位フォルダー ビューが表示されます
- このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker セットアップ ウィザードは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、コンピューターの最上位フォルダー ビューを表示します
注
このポリシー設定では、ユーザーが別のフォルダーに回復パスワードを保存することはできません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化 |
ドライブ暗号化方法と暗号強度を選択する
このポリシーを使用すると、固定データ ドライブ、オペレーティング システム ドライブ、リムーバブル データ ドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できます。
推奨設定: すべてのドライブ XTS-AES アルゴリズム。 キー サイズ、128 ビット、または 256 ビットの選択は、デバイスのパフォーマンスによって異なります。 パフォーマンスの高いハード ドライブと CPU の場合は、256 ビット キーを選択します。パフォーマンスが低い場合は 128 を使用します。
重要
キー サイズは、レギュレータまたは業界で必要になる場合があります。
このポリシー設定を無効にするか、構成しない場合、BitLocker は既定の暗号化方法である XTS-AES 128-bitを使用します。
注
このポリシーは、暗号化されたドライブには適用されません。 暗号化されたドライブは、パーティション分割中にドライブによって設定される独自のアルゴリズムを利用します。
このポリシーを使用すると、参加済みデバイスとハイブリッド参加済みデバイス上の OS と固定ドライブMicrosoft Entra使用するときに、数値の回復パスワードローテーションMicrosoft Entra構成できます。
設定可能な値は、次のとおりです。
-
0: 数値回復パスワードのローテーションがオフになっている
-
1: Microsoft Entra参加済みデバイスでは、使用時の回復パスワードの数値ローテーションがオンになります。 これも既定値です
-
2: 使用時の数値回復パスワードローテーションは、Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスの両方Microsoft Entraオンです
注
ポリシーは、回復パスワードの Micropsoft Entra ID または Active Directory バックアップが必須に構成されている場合にのみ有効です
- OS ドライブの場合: [オペレーティング システム ドライブの AD DS に回復情報が保存されるまで BitLocker を有効にしない] を有効にします
- 固定ドライブの場合: "固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください
このコンピューターがロックされているときに新しい DMA デバイスを無効にする
このポリシー設定を有効にすると、ユーザーが Windows にサインインするまで、すべてのホット プラグ可能な PCI ポートのダイレクト メモリ アクセス (DMA) がブロックされます。
ユーザーがサインインすると、Windows はホスト Thunderbolt PCI ポートに接続されている PCI デバイスを列挙します。 ユーザーがデバイスをロックするたびに、ユーザーが再びサインインするまで、DMA は子デバイスのないホット プラグ Thunderbolt PCI ポートでブロックされます。
デバイスのロックが解除されたときに既に列挙されたデバイスは、取り外されるか、システムが再起動または休止状態になるまで機能し続けます。
このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。
重要
このポリシーは、 カーネル DMA 保護と互換性がありません。 システムがカーネル DMA 保護をサポートしている場合は、カーネル DMA 保護によってシステムのセキュリティが強化されるため、このポリシーを無効にすることをお勧めします。 カーネル DMA 保護の詳細については、「 カーネル DMA 保護」を参照してください。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化 |
再起動時にメモリの上書きを防ぐ
このポリシー設定は、デバイスの再起動時にコンピューターのメモリを上書きするかどうかを制御するために使用されます。 BitLocker シークレットには、データの暗号化に使用されるキー マテリアルが含まれます。
- このポリシー設定を有効にした場合、コンピューターの再起動時にメモリは上書きされません。 メモリの上書きを防ぐと、再起動のパフォーマンスが向上する可能性がありますが、BitLocker シークレットを公開するリスクが高くなります。
- このポリシー設定を無効にするか、構成しない場合、コンピューターの再起動時に BitLocker シークレットがメモリから削除されます。
注
このポリシー設定は、BitLocker 保護が有効になっている場合にのみ適用されます。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化 |
organizationの一意の識別子を指定します
このポリシー設定を使用すると、BitLocker で暗号化されたドライブに一意の組織識別子を関連付けることができます。 識別子は、 識別フィールド と 許可された識別フィールドとして格納されます。
- 識別フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けることができます。 この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され、 BitLocker ドライブ暗号化: 構成ツール (
manage-bde.exe) を使用して、既存の BitLocker で保護されたドライブで更新できます
- 許可される識別フィールドは、organizationでのリムーバブル ドライブの使用を制御するのに役立つ[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定と組み合わせて使用されます。 これは、organizationやその他の外部組織からの識別フィールドのコンマ区切りの一覧です。
manage-bde.exeを使用して、既存のドライブの識別フィールドを構成できます。
このポリシー設定を有効にした場合は、BitLocker で保護されたドライブの識別フィールドと、organizationで使用できる識別フィールドを構成できます。 BitLocker で保護されたドライブが別の BitLocker 対応デバイスにマウントされている場合、識別フィールドと許可された識別フィールドを使用して、ドライブが別のorganizationからのものかどうかを判断します。
このポリシー設定を無効にするか、構成しない場合、識別フィールドは必要ありません。
重要
BitLocker で保護されたドライブでの証明書ベースのデータ復旧エージェントの管理には、識別フィールドが必要です。 BitLocker は、識別フィールドがドライブ上にあり、デバイスで構成されている値と同じである場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。 識別フィールドには、260 文字以下の任意の値を指定できます。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
IdentificationField |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化 |
デバイスの暗号化を要求する
このポリシー設定は、BitLocker が必要かどうかを決定します。
- 有効にすると、他のディスク暗号化ポリシーに対する 警告を許可 するに基づいて、すべてのドライブでサイレントまたはサイレント以外の暗号化がトリガーされます
- 無効にすると、システム ドライブの BitLocker はオフになりませんが、ユーザーに BitLocker のオンを求めるメッセージが表示されなくなります。
注
通常、BitLocker はドライブ 暗号化方法と暗号強度 ポリシーの構成に従います。 ただし、このポリシー設定は、自己暗号化固定ドライブと自己暗号化 OS ドライブでは無視されます。
暗号化可能な固定データ ボリュームは OS ボリュームと同様に扱われますが、暗号化可能にするには他の条件を満たす必要があります。
- 動的ボリュームにすることはできません
- 回復パーティションにすることはできません
- 非表示ボリュームにすることはできません
- システム パーティションにすることはできません
- 仮想ストレージでバックアップすることはできません
- BCD ストアに参照を含めてはなりません
スマート カード証明書の使用規則のコンプライアンスを検証する
このポリシー設定は、スマート カード証明書から BitLocker で保護されたドライブにオブジェクト識別子 (OID) を関連付けることによって、BitLocker で使用する証明書を決定するために使用されます。 オブジェクト識別子は、証明書の拡張キー使用法 (EKU) で指定されます。
BitLocker は、証明書内のオブジェクト識別子と、このポリシー設定で定義されているオブジェクト識別子を照合することで、BitLocker で保護されたドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。 既定の OID は 1.3.6.1.4.1.311.67.1.1。
このポリシー設定を有効にした場合、[オブジェクト識別子] フィールドで指定されたオブジェクト識別子は、スマート カード証明書のオブジェクト識別子と一致する必要があります。 このポリシー設定を無効にするか、構成しない場合は、既定の OID が使用されます。
注
BitLocker では、証明書に EKU 属性が必要ありません。ただし、証明書用に構成されている場合は、BitLocker 用に構成されたオブジェクト識別子と一致するオブジェクト識別子に設定する必要があります。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化 |
InstantGo または HSTI に準拠しているデバイスによるプレブート PIN のオプトアウトを許可する
このポリシー設定を使用すると、InstantGo または Microsoft ハードウェア セキュリティ テスト インターフェイス (HSTI) に準拠しているデバイスのユーザーは、プリブート認証用の PIN を持つことができません。
このポリシーは、[ TPM でスタートアップ PIN を要求する] と [ スタートアップ キーと PIN を必要とする ] オプションを [スタートアップ 時に追加認証を要求 する] オプションを使用してオーバーライドします。
- このポリシー設定を有効にした場合、InstantGo および HSTI 準拠デバイスのユーザーは、プリブート認証なしで BitLocker を有効にすることができます
- ポリシーが無効になっているか、構成されていない場合は、[スタートアップ 時に 追加認証を要求する ] ポリシーのオプションが適用されます
起動時に拡張 PIN を許可する
この設定では、PIN を含むロック解除方法を使用する場合に拡張 PIN を使用できます。
拡張スタートアップ PIN を使用すると、文字 (大文字と小文字、記号、数字、スペースを含む) を使用できます。
重要
すべてのコンピューターで、プリブート環境で拡張 PIN 文字がサポートされているわけではありません。 強化された PIN 文字を使用できることを確認するために、BitLocker のセットアップ中にユーザーがシステム チェックを実行することを強くお勧めします。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEnhancedPIN |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
起動時にネットワークロック解除を許可する
このポリシー設定は、信頼された有線ローカル エリア ネットワーク (LAN) に接続されている BitLocker で保護されたデバイスが、TPM 対応コンピューターでネットワーク キー 保護機能を作成して使用して、コンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御します。
このポリシーを有効にした場合、 BitLocker ネットワーク ロック解除証明書 で構成されたデバイスは、ネットワーク キー 保護機能を作成して使用できます。 ネットワーク キー 保護機能を使用してコンピューターのロックを解除するには、コンピューターと BitLocker ドライブ暗号化ネットワークロック解除サーバーの両方がネットワーク ロック解除証明書でプロビジョニングされている必要があります。 ネットワーク ロック解除証明書は、ネットワーク キー 保護機能を作成するために使用され、コンピューターのロックを解除するためにサーバーと交換される情報を保護します。
コンピューターの構成>Windows 設定>セキュリティ設定>公開キー ポリシー>BitLocker ドライブ暗号化ネットワークロック解除証明書のグループ ポリシーを使用して、この証明書をorganization内のコンピューターに配布できます。 このロック解除方法では、コンピューター上の TPM が使用されるため、TPM を持たないコンピューターでは、ネットワーク ロック解除を使用して自動的にロックを解除するネットワーク キー 保護機能を作成できません。
このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker クライアントはネットワーク キー 保護機能を作成して使用できません。
注
信頼性とセキュリティを確保するには、コンピューターが起動時に有線ネットワークまたはサーバーから切断されたときに使用できる TPM スタートアップ PIN も必要です。
ネットワーク ロック解除機能の詳細については、「BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
整合性検証のセキュア ブートを許可する
このポリシー設定を使用すると、BitLocker オペレーティング システム ドライブのプラットフォーム整合性プロバイダーとしてセキュア ブートを許可するかどうかを構成できます。
セキュア ブートにより、デバイスのプレブート環境では、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。
- このポリシー設定を有効にするか、構成しない場合、プラットフォームがセキュア ブート ベースの整合性検証に対応している場合、BitLocker はプラットフォームの整合性のためにセキュア ブートを使用します
- このポリシー設定を無効にした場合、BitLocker では、セキュア ブート ベースの整合性検証が可能なシステムでも、レガシ プラットフォームの整合性検証が使用されます
このポリシーを有効にし、ハードウェアで BitLocker シナリオでセキュア ブートを使用できる場合、[ 拡張ブート構成データ検証プロファイルの使用 ] ポリシー設定は無視され、セキュア ブートは、BitLocker とは別に構成されているセキュア ブート ポリシー設定に従って BCD 設定を検証します。
Warning
このポリシーを無効にすると、製造元固有のファームウェアが更新されたときに BitLocker の回復が発生する可能性があります。 このポリシーが無効になっている場合は、ファームウェア更新プログラムを適用する前に BitLocker を一時停止します。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
他のディスク暗号化に対する警告を許可する
このポリシーを使用すると、暗号化に関するすべての通知、他のディスク暗号化の警告プロンプトを無効にし、暗号化をサイレント モードで有効にすることができます。
重要
このポリシーは、Microsoft Entra参加済みデバイスにのみ適用されます。
このポリシーは、[ デバイス暗号化ポリシーが必要] が有効になっている場合にのみ有効になります。
Warning
Microsoft 以外の暗号化を使用してデバイスで BitLocker を有効にすると、デバイスが使用できなくなる可能性があり、Windows の再インストールが必要になります。
このポリシーに必要な値は次のとおりです。
- 有効 (既定値): 警告プロンプトと暗号化通知が許可されます
- 無効: 警告プロンプトと暗号化通知は抑制されます。 Windows は BitLocker をサイレント モードで有効にしようとします
注
警告プロンプトを無効にすると、OS ドライブの回復キーがユーザーのMicrosoft Entra ID アカウントにバックアップされます。 警告プロンプトを許可すると、プロンプトを受け取ったユーザーは、OS ドライブの回復キーをバックアップする場所を選択できます。
固定データ ドライブのバックアップのエンドポイントは、次の順序で選択されます。
- ユーザーのWindows Server Active Directory Domain Services アカウント
- ユーザーのMicrosoft Entra ID アカウント
- ユーザーの個人用 OneDrive (MDM/MAM のみ)
暗号化は、これら 3 つの場所のいずれかが正常にバックアップされるまで待機します。
BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する
このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御できます。 このポリシー設定を有効にした場合は、BitLocker で保護されたオペレーティング システム ドライブからデータを回復するためにユーザーが使用できる方法を制御できます。 使用可能なオプションを次に示します。
-
証明書ベースのデータ復旧エージェントを許可する: BitLocker で保護された OS ドライブでデータ回復エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターの [公開キー ポリシー] 項目から追加する必要があります。
-
BitLocker 回復情報のユーザー ストレージを構成する: ユーザーが 48 桁の回復パスワードまたは 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します
-
BitLocker セットアップ ウィザードから回復オプションを省略する: ドライブに対して BitLocker をオンにしたときに、ユーザーが回復オプションを指定できないようにします。 これは、ユーザーが BitLocker をオンにするときに使用する回復オプションを指定できないことを意味します。 ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります
-
BitLocker 回復情報を Active Directory Domain Services に保存する: オペレーティング システム ドライブの AD DS に格納する BitLocker 回復情報を選択します。
[バックアップ回復パスワードとキー パッケージ] を選択すると、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。
[バックアップの回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます
-
オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください。デバイスがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにします。 このオプションを使用すると、回復パスワードが自動的に生成されます。
このポリシー設定が無効になっているか、構成されていない場合、BitLocker 回復の既定の回復オプションがサポートされます。 既定では、DRA は許可されており、回復オプションは、回復パスワードと回復キーを含むユーザーによって指定でき、回復情報は AD DS にバックアップされません。
ハイブリッド参加済みデバイスMicrosoft Entra場合、BitLocker 回復パスワードは Active Directory と Entra ID の両方にバックアップされます。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryOptions |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシーは、トラステッド プラットフォーム モジュール (TPM) スタートアップ PIN の最小長を構成します。 スタートアップ PIN の長さは 4 桁以上で、最大長は 20 桁です。
このポリシー設定を有効にした場合は、スタートアップ PIN を設定するときに使用する最小桁数を要求できます。
このポリシー設定を無効にするか、構成しない場合、ユーザーは 6 桁から 20 桁の任意の長さのスタートアップ PIN を構成できます。
TPM は、ディクショナリ攻撃防止パラメーター (ロックアウトのしきい値とロックアウト期間 ) を使用して、TPM がロックアウトされるまでに許可される失敗した承認試行の数と、別の試行を実行するまでに必要な時間を制御するように構成できます。
ディクショナリ攻撃防止パラメーターを使用すると、セキュリティニーズと使いやすさのバランスを取ることができます。 たとえば、TPM + PIN 構成で BitLocker を使用する場合、PIN 推測の数は時間の経過と共に制限されます。 この例の TPM 2.0 は、すぐに 32 個の PIN 推測のみを許可し、2 時間ごとにさらに 1 つの推測のみを許可するように構成できます。 この試行回数は、年間最大約 4415 回の推測に合計されます。 PIN が 4 桁の場合、9999 個の PIN の組み合わせはすべて 2 年余りで試行される可能性があります。
ヒント
PIN の長さを長くするには、攻撃者にとってより多くの推測が必要です。 その場合、正当なユーザーが同様のレベルの保護を維持しながら、失敗した試行をより早く再試行できるように、各推測間のロックアウト期間を短縮できます。
注
PIN の最小長が 6 桁未満に設定されている場合、WINDOWS は PIN が変更されたときに TPM 2.0 ロックアウト期間を既定値より大きく更新しようとします。 成功した場合、WINDOWS は TPM がリセットされた場合にのみ TPM ロックアウト期間を既定値に戻します。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesMinimumPINLength |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシー設定は、回復メッセージを構成し、OS ドライブがロックされているときにプリブート回復画面に表示される既存の URL を置き換えるために使用されます。
- [ 既定の回復メッセージと URL を使用 する] オプションを選択すると、既定の BitLocker 回復メッセージと URL がプリブート キーの回復画面に表示されます。 以前にカスタム回復メッセージまたは URL を構成し、既定のメッセージに戻す場合は、ポリシーを有効にしたまま、[ 既定の回復メッセージと URL を使用 する] オプションを選択する必要があります
- [ カスタム回復メッセージの使用 ] オプションを選択すると、[ カスタム回復メッセージ オプション ] テキスト ボックスに追加したメッセージがプリブート キーの回復画面に表示されます。 回復 URL が使用可能な場合は、メッセージに含めます
- [ カスタム回復 URL を使用 する] オプションを選択した場合、[ カスタム回復 URL] オプション テキスト ボックスに追加する URL は、既定の回復メッセージの既定の URL に置き換えられます。これは、プレブート キーの回復画面に表示されます
注
すべての文字と言語がプレブートでサポートされているわけではありません。 カスタム メッセージまたは URL に使用する文字が起動前の回復画面に正しく表示されることをテストすることを強くお勧めします。
BitLocker プレブート回復画面の詳細については、「 プレブート回復画面」を参照してください。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesRecoveryMessage |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシー設定は、BIOS 構成または互換性サポート モジュール (CSM) が有効になっている UEFI ファームウェアを使用してコンピューター上のオペレーティング システム ドライブのロックを解除する前に、初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。
- 有効にすると、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM は暗号化キーを解放してドライブのロックを解除しません。 代わりに、コンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーが指定されている必要があります。
- 無効または未構成の場合、TPM では、セットアップ スクリプトによって指定された既定のプラットフォーム検証プロファイルまたはプラットフォーム検証プロファイルが使用されます。
このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。
重要
このグループ ポリシー設定は、BIOS 構成を持つコンピューター、または CSM が有効になっている UEFI ファームウェアを持つコンピューターにのみ適用されます。 ネイティブ UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。
ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルの構成ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。
プラットフォーム検証プロファイルは、0 から 23 の範囲の PCR インデックスのセットで構成されます。 各 PCR インデックスは、TPM が初期起動時に検証する特定の測定値を表します。 既定のプラットフォーム検証プロファイルは、次の PCR への変更に対して暗号化キーをセキュリティで保護します。
| PCR |
説明 |
| PCR 0 |
測定、BIOS、プラットフォーム拡張機能のコア root-of-trust |
| PCR 2 |
オプション ROM コード |
| PCR 4 |
マスター ブート レコード (MBR) コード |
| PCR 8 |
NTFS ブート セクター |
| PCR 9 |
NTFS ブート ブロック |
| PCR 10 |
ブート マネージャー |
| PCR 11 |
BitLocker アクセス制御 |
注
既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。
次の一覧は、使用可能なすべての PCR を示しています。
| PCR |
説明 |
| PCR 0 |
測定、BIOS、プラットフォーム拡張機能のコア root-of-trust |
| PCR 1 |
プラットフォームとマザーボードの構成とデータ。 |
| PCR 2 |
オプション ROM コード |
| PCR 3 |
オプション ROM データと構成 |
| PCR 4 |
マスター ブート レコード (MBR) コード |
| PCR 5 |
マスター ブート レコード (MBR) パーティション テーブル |
| PCR 6 |
状態遷移とウェイク イベント |
| PCR 7 |
コンピューターの製造元固有 |
| PCR 8 |
NTFS ブート セクター |
| PCR 9 |
NTFS ブート ブロック |
| PCR 10 |
ブート マネージャー |
| PCR 11 |
BitLocker アクセス制御 |
| PCR 12-23 |
将来の使用のために予約済み |
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシー設定は、ネイティブ UEFI ファームウェア デバイスで OS ドライブのロックを解除する前に、初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。
- BitLocker をオンにする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化された OS ドライブへのアクセスをロック解除する前に TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効な間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。 デバイスには BitLocker 回復コンソールが表示され、ドライブのロックを解除するために回復パスワードまたは回復キーを指定する必要があります
- このポリシー設定を無効にするか、構成しない場合、BitLocker は、使用可能なハードウェアの既定のプラットフォーム検証プロファイル、またはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します
重要
このポリシー設定は、ネイティブの UEFI ファームウェア構成を持つデバイスにのみ適用されます。 互換性サポート モジュール (CSM) が有効な BIOS または UEFI ファームウェアを持つコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。
BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルの構成ポリシー設定を使用して、BIOS 構成を持つデバイス、または CSM が有効な UEFI ファームウェアを持つデバイスの TPM PCR プロファイルを構成します。
プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR インデックスのセットで構成されます。 既定のプラットフォーム検証プロファイルは、次の PCR への変更に対して暗号化キーをセキュリティで保護します。
| PCR |
説明 |
| PCR 0 |
コア システム ファームウェアの実行可能コード |
| PCR 2 |
拡張またはプラグ可能な実行可能コード |
| PCR 4 |
ブート マネージャー |
| PCR 11 |
BitLocker アクセス制御 |
注
セキュア ブート状態 (PCR7) のサポートが利用可能な場合、既定のプラットフォーム検証プロファイルは、セキュア ブート状態 (PCR 7) と BitLocker アクセス制御 (PCR 11) を使用して暗号化キーをセキュリティで保護します。
次の一覧は、使用可能なすべての PCR を示しています。
| PCR |
説明 |
| PCR 0 |
コア システム ファームウェアの実行可能コード |
| PCR 1 |
コア システム ファームウェア データ |
| PCR 2 |
拡張またはプラグ可能な実行可能コード |
| PCR 3 |
拡張またはプラグ可能なファームウェア データ |
| PCR 4 |
ブート マネージャー |
| PCR 5 |
GPT/パーティション テーブル |
| PCR 6 |
S4 および S5 電源状態イベントからの再開 |
| PCR 7 |
セキュア ブート状態 |
| PCR 8 |
拡張なしで 0 に初期化 (将来の使用のために予約) |
| PCR 9 |
拡張なしで 0 に初期化 (将来の使用のために予約) |
| PCR 10 |
拡張なしで 0 に初期化 (将来の使用のために予約) |
| PCR 11 |
BitLocker アクセス制御 |
| PCR 12 |
データ イベントと揮発性の高いイベント |
| PCR 13 |
ブート モジュールの詳細 |
| PCR 14 |
ブート機関 |
| PCR 15 - 23 |
将来の使用のために予約済み |
Warning
既定のプラットフォーム検証プロファイルから変更すると、デバイスのセキュリティと管理性に影響します。 プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増減されます。
PCR 7 を省略してこのポリシーを設定すると、 整合性検証のセキュリティで保護されたブートを許可 するポリシーがオーバーライドされ、BitLocker がプラットフォームまたはブート構成データ (BCD) の整合性検証にセキュア ブートを使用できなくなります。
このポリシーを設定すると、ファームウェアの更新時に BitLocker の回復が発生する可能性があります。 このポリシーを PCR 0 を含むように設定した場合は、ファームウェア更新プログラムを適用する前に BitLocker を一時停止します。 各デバイスで使用可能なハードウェアに基づいて、セキュリティと使いやすさの最適な組み合わせのために、Windows が PCR プロファイルを選択できるように、このポリシーを構成しないことをお勧めします。
PCR 7 はセキュア ブートの状態を測定します。 PCR 7 では、BitLocker は整合性検証にセキュア ブートを使用できます。 セキュア ブートにより、コンピューターのプリブート環境で、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。 PCR 7 の測定値は、セキュア ブートがオンかどうかと、プラットフォームで信頼されているキーを示します。 セキュア ブートがオンで、ファームウェアが UEFI 仕様に従って PCR 7 を正しく測定する場合、BitLocker は、正確なファームウェアと Bootmgr イメージの測定値が読み込まれた PCR 0、2、4 ではなく、この情報にバインドできます。 このプロセスにより、ファームウェアとイメージの更新の結果として BitLocker が回復モードで起動する可能性が減り、プリブート構成を管理する柔軟性が高まります。
PCR 7 の測定値は、「 付録 A Trusted Execution Environment EFI Protocol」で説明されているガイダンスに従う必要があります。
PCR 7 測定は、モダン スタンバイ (Always On、Always Connected PC とも呼ばれます) をサポートするシステムに必須のロゴ要件です。 このようなシステムでは、PCR 7 測定とセキュア ブートを備えた TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドします。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシー設定を使用すると、オペレーティング システム ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。
このポリシー設定を有効にした場合は、ハードウェア ベースの暗号化をサポートしていないデバイスでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御するオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
このポリシー設定を無効にした場合、BitLocker はオペレーティング システム ドライブでハードウェア ベースの暗号化を使用できません。また、ドライブの暗号化時に BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
このポリシー設定を構成しない場合、BitLocker はハードウェア ベースの暗号化の可用性に関係なく、ソフトウェア ベースの暗号化を使用します。
注
[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。
[ ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されたアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) によって指定されます。 次に、例を示します。
- CBC モード OID の AES 128:
2.16.840.1.101.3.4.1.2
- CBC モード OID の AES 256:
2.16.840.1.101.3.4.1.42
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
このポリシー設定では、BitLocker で保護されたオペレーティング システム ドライブのロックを解除するために使用されるパスワードの制約を指定します。 オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワードをプロビジョニングし、複雑さの要件を適用し、最小長を構成できます。
重要
複雑さの要件設定を有効にするには、グループ ポリシー設定の [パスワード] が[コンピューターの構成]、[Windows の設定]>、[Windows の設定>セキュリティ設定>Account ポリシー>パスワード ポリシー] にある複雑な要件も満たす必要があります。
このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
- [ 複雑さが必要] に設定されている場合、パスワードの複雑さを検証するために BitLocker が有効になっている場合、ドメイン コントローラーへの接続が必要です
- [ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます
- [ 複雑さを許可しない] に設定すると、パスワードの複雑さが検証されません
パスワードは少なくとも 8 文字にする必要があります。 パスワードの最小長を大きく構成するには、[最小パスワード長] で目的の文字数を指定します
このポリシー設定を無効にするか、構成しない場合、8 文字の既定の長さの制約がオペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
標準ユーザーが PIN またはパスワードを変更できないようにする
このポリシーでは、標準ユーザーがオペレーティング システム ドライブを保護するために使用する PIN またはパスワードを変更できるかどうかを構成できます (既存の PIN を最初に指定できる場合)。
このポリシーを有効にした場合、標準ユーザーは BitLocker PIN またはパスワードを変更できません。
このポリシーを無効にするか、構成しない場合、標準ユーザーは BitLocker PIN とパスワードを変更できます。
このポリシー設定を使用すると、プラットフォームにプレブート入力機能がない場合でも、プレブート環境からのユーザー入力を必要とする認証オプションを有効にすることができます。 Windows タッチ キーボード (タブレットで使用されるキーボードなど) は、BitLocker で PIN やパスワードなどの追加情報が必要なプレブート環境では使用できません。
- このポリシー設定を有効にした場合、デバイスには、プリブート入力の代替手段 (USB キーボードなど) が必要です。
- このポリシーが有効になっていない場合は、BitLocker 回復パスワードの入力をサポートするために、タブレットで Windows 回復環境を有効にする必要があります。
管理者は、USB キーボードの接続など、プリブート入力の代替手段があることを確認されたデバイスに対してのみ、このポリシーを有効にすることをお勧めします。
Windows Recovery Environment (WinRE) が有効になっていないときに、このポリシーが有効になっていない場合、タッチ キーボードを使用するデバイスで BitLocker をオンにすることはできません。
このポリシー設定が有効になっていない場合は、[ スタートアップ時に追加認証を要求する ] ポリシーの次のオプションを使用できない可能性があります。
- TPM スタートアップ PIN の構成: 必須と許可
- TPM スタートアップ キーと PIN の構成: 必須と許可
- オペレーティング システム ドライブのパスワードの使用を構成する
オペレーティング システム ドライブにドライブ暗号化の種類を適用する
このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用される暗号化の種類を構成できます。
このポリシー設定を有効にすると、BitLocker セットアップ ウィザードでは 暗号化の種類 オプションは提供されません。
- BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、 完全 暗号化を選択します
- BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[ 使用領域のみ 暗号化] を選択します
このポリシー設定を無効にするか、構成しない場合、BitLocker のセットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。
注
ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。
このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、 使用済み領域のみの暗号化 を使用しているドライブが展開されている場合、完全 暗号化を使用するドライブのように新しい空き領域はワイプされません。 ユーザーは、次のコマンドを使用して 、使用済み領域のみ ドライブの空き領域をワイプできます: manage-bde.exe -w。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
SystemDrivesEncryptionType |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
起動時に追加認証を要求する
このポリシー設定では、デバイスが起動するたびに BitLocker に追加認証が必要かどうかを構成します。
このポリシーを有効にした場合、ユーザーは BitLocker セットアップ ウィザードで高度なスタートアップ オプションを構成できます。
このポリシー設定を無効にした場合、または構成しない場合、ユーザーは TPM を使用するコンピューターで基本的なオプションのみを構成できます。
注
起動時に必要となる追加の認証オプションは 1 つだけです。それ以外の場合は、ポリシー エラーが発生します。
TPM を使用しないデバイスで BitLocker を使用する場合は、[ 互換性のある TPM なしで BitLocker を許可する] オプションを選択します。 このモードでは、起動時にパスワードまたは USB ドライブが必要です。
スタートアップ キーを使用する場合、ドライブの暗号化に使用されるキー情報が USB ドライブに格納され、USB キーが作成されます。 USB キーが挿入されると、ドライブへのアクセスが認証され、ドライブにアクセスできます。 USB キーが紛失または使用できない場合、またはパスワードを忘れた場合は、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。
互換性のある TPM を持つコンピューターでは、起動時に 4 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、次のものを使用できます。
- TPM のみ
- 起動キーを含む USB フラッシュ ドライブ
- PIN (6 桁から 20 桁)
- PIN + USB フラッシュ ドライブ
注
スタートアップ PIN と USB フラッシュ ドライブを使用する必要がある場合は、BitLocker ドライブ暗号化セットアップ ウィザードではなく、コマンド ライン ツール manage-bde を使用して BitLocker 設定を構成する必要があります。
TPM 対応デバイスには、次の 4 つのオプションがあります。
このポリシー設定は、BitLocker の回復後に Windows を起動したときにプラットフォーム検証データを更新するかどうかを決定します。 プラットフォーム検証データ プロファイルは、0 から 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセット内の値で構成されます。
このポリシー設定を有効にすると、BitLocker の復旧後に Windows が起動すると、プラットフォーム検証データが更新されます。 これは既定の動作です。
このポリシー設定を無効にした場合、BitLocker の回復後に Windows を起動しても、プラットフォーム検証データは更新されません。
回復プロセスの詳細については、 BitLocker の回復の概要に関するページを参照してください。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
拡張ブート構成データ検証プロファイルを使用する
このポリシー設定は、プラットフォームの検証中に検証する特定のブート構成データ (BCD) 設定を決定します。 プラットフォーム検証では、プラットフォーム検証プロファイルのデータが使用されます。これは、0 から 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。
このポリシー設定を構成しない場合、デバイスは既定の Windows BCD 設定を確認します。
注
BitLocker がプラットフォームと BCD 整合性検証にセキュア ブートを使用している場合は、整合性検証のセキュリティで 保護されたブートを許可する ポリシー設定で定義されているように、このポリシー設定は無視されます。 ブート デバッグ 0x16000010 を制御する設定は常に検証され、包含リストまたは除外リストに含まれている場合は効果がありません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ |
BitLocker で保護された固定ドライブを回復する方法を選択する
このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御できます。 このポリシー設定を有効にした場合は、BitLocker で保護された固定データ ドライブからデータを回復するためにユーザーが使用できる方法を制御できます。 使用可能なオプションを次に示します。
-
証明書ベースのデータ復旧エージェントを許可する: BitLocker で保護された固定データ ドライブでデータ回復エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターの [公開キー ポリシー] 項目から追加する必要があります。
-
BitLocker 回復情報のユーザー ストレージを構成する: ユーザーが 48 桁の回復パスワードまたは 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します
-
BitLocker セットアップ ウィザードから回復オプションを省略する: ドライブに対して BitLocker をオンにしたときに、ユーザーが回復オプションを指定できないようにします。 これは、ユーザーが BitLocker をオンにするときに使用する回復オプションを指定できないことを意味します。 ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります
-
BitLocker 回復情報を Active Directory Domain Servicesに保存する: 固定データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。
[バックアップ回復パスワードとキー パッケージ] を選択すると、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。
[バックアップの回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます
-
固定データ ドライブの回復情報が AD DS に格納されるまで BitLocker を有効にしないでください。デバイスがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにします。 このオプションを使用すると、回復パスワードが自動的に生成されます。
重要
BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。
このポリシー設定が無効になっているか、構成されていない場合、BitLocker 回復の既定の回復オプションがサポートされます。 既定では、DRA は許可されており、回復オプションは、回復パスワードと回復キーを含むユーザーによって指定でき、回復情報は AD DS にバックアップされません。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesRecoveryOptions |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ |
このポリシー設定を使用すると、固定データ ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。
このポリシー設定を有効にした場合は、ハードウェア ベースの暗号化をサポートしていないデバイスでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御するオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
このポリシー設定を無効にした場合、BitLocker は固定データ ドライブでハードウェア ベースの暗号化を使用できません。また、ドライブの暗号化時に BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
このポリシー設定を構成しない場合、BitLocker はハードウェア ベースの暗号化の可用性に関係なく、ソフトウェア ベースの暗号化を使用します。
注
[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。
[ ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されたアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) によって指定されます。 次に、例を示します。
- CBC モード OID の AES 128:
2.16.840.1.101.3.4.1.2
- CBC モード OID の AES 256:
2.16.840.1.101.3.4.1.42
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ |
このポリシー設定では、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定します。 パスワードの使用を許可する場合は、パスワードの使用を要求し、複雑さの要件を適用し、最小長を構成できます。
重要
複雑さの要件設定を有効にするには、グループ ポリシー設定の [パスワード] が[コンピューターの構成]、[Windows の設定]>、[Windows の設定>セキュリティ設定>Account ポリシー>パスワード ポリシー] にある複雑な要件も満たす必要があります。
このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
- [ 複雑さが必要] に設定されている場合、パスワードの複雑さを検証するために BitLocker が有効になっている場合、ドメイン コントローラーへの接続が必要です
- [ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます
- [ 複雑さを許可しない] に設定すると、パスワードの複雑さが検証されません
パスワードは少なくとも 8 文字にする必要があります。 パスワードの最小長を大きく構成するには、[最小パスワード長] で目的の文字数を指定します
このポリシー設定を無効にするか、構成しない場合、8 文字の既定の長さの制約がオペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ |
このポリシー設定を使用すると、BitLocker で保護された固定データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
- このポリシー設定を有効にすると、スマート カードを使用してドライブへのユーザー アクセスを認証できます
- [固定データ ドライブでのスマート カードの使用を要求する] オプションを選択すると、スマート カード認証を要求できます
- このポリシー設定を無効にした場合、ユーザーはスマート カードを使用して BitLocker で保護された固定データ ドライブへのアクセスを認証できません
- このポリシー設定を構成しない場合、スマート カードを使用して BitLocker で保護されたドライブへのユーザー アクセスを認証できます
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ |
BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する
このポリシー設定は、 書き込み アクセスを許可する前に固定ドライブの暗号化を要求するために使用されます。
このポリシー設定を有効にすると、BitLocker で保護されていない固定データ ドライブはすべて読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
このポリシー設定を無効にするか、構成しない場合、コンピューター上のすべての固定データ ドライブが読み取りおよび書き込みアクセスでマウントされます。
注
このポリシー設定を有効にすると、暗号化されていない固定データ ドライブにデータを保存しようとすると、 アクセス拒否 エラー メッセージが表示されます。
このポリシー設定が有効になっているときに BitLocker ドライブ準備ツールBdeHdCfg.exe がコンピューターで実行されると、次の問題が発生する可能性があります。
- ドライブを圧縮してシステム ドライブを作成しようとすると、ドライブのサイズが正常に縮小され、生パーティションが作成されます。 ただし、未加工のパーティションは書式設定されていません。 次のエラー メッセージが表示されます。 新しいアクティブ なドライブをフォーマットできません。BitLocker 用のドライブを手動で準備する必要がある場合があります。
- 未割り当て領域を使用してシステム ドライブを作成しようとすると、生パーティションが作成されます。 ただし、未加工のパーティションは書式設定されません。 次のエラー メッセージが表示されます。 新しいアクティブ なドライブをフォーマットできません。BitLocker 用のドライブを手動で準備する必要がある場合があります。
- 既存のドライブをシステム ドライブにマージしようとすると、必要なブート ファイルをターゲット ドライブにコピーしてシステム ドライブを作成できません。 次のエラー メッセージが表示されます。 BitLocker セットアップでブート ファイルのコピーに失敗しました。BitLocker 用のドライブを手動で準備する必要がある場合があります。
固定データ ドライブにドライブ暗号化の種類を適用する
このポリシー設定は、固定データ ドライブでの BitLocker の使用を制御します。
このポリシー設定を有効にした場合、BitLocker がドライブの暗号化に使用する暗号化の種類はこのポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
- BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、 完全 暗号化を選択します
- BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[ 使用領域のみ 暗号化] を選択します
このポリシー設定を無効にするか、構成しない場合、BitLocker のセットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。
注
ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。
このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、 使用済み領域のみの暗号化 を使用しているドライブが展開されている場合、完全 暗号化を使用するドライブのように新しい空き領域はワイプされません。 ユーザーは、次のコマンドを使用して 、使用済み領域のみ ドライブの空き領域をワイプできます: manage-bde.exe -w。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
FixedDrivesEncryptionType |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>固定データ ドライブ |
BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する
このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたリムーバブル データ ドライブを回復する方法を制御できます。 このポリシー設定を有効にした場合は、BitLocker で保護されたリムーバブル データ ドライブからデータを回復するためにユーザーが使用できる方法を制御できます。 使用可能なオプションを次に示します。
-
証明書ベースのデータ復旧エージェントを許可する: BitLocker で保護されたリムーバブル データ ドライブでデータ回復エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターの [公開キー ポリシー] 項目から追加する必要があります。
-
BitLocker 回復情報のユーザー ストレージを構成する: ユーザーが 48 桁の回復パスワードまたは 256 ビット回復キーの生成を許可、必須、または許可されていないかどうかを選択します
-
BitLocker セットアップ ウィザードから回復オプションを省略する: ドライブに対して BitLocker をオンにしたときに、ユーザーが回復オプションを指定できないようにします。 これは、ユーザーが BitLocker をオンにするときに使用する回復オプションを指定できないことを意味します。 ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります
-
BitLocker 回復情報を Active Directory Domain Servicesに保存する: リムーバブル データ ドライブ用に AD DS に格納する BitLocker 回復情報を選択します。
[バックアップ回復パスワードとキー パッケージ] を選択すると、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。
[バックアップの回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます
-
リムーバブル データ ドライブの回復情報が AD DS に格納されるまで BitLocker を有効にしないでください。デバイスがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにします。 このオプションを使用すると、回復パスワードが自動的に生成されます。
重要
BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するポリシー設定が有効になっている場合は、回復キーの使用を禁止する必要があります。
このポリシー設定が無効になっているか、構成されていない場合、BitLocker 回復の既定の回復オプションがサポートされます。 既定では、DRA は許可されており、回復オプションは、回復パスワードと回復キーを含むユーザーによって指定でき、回復情報は AD DS にバックアップされません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ |
このポリシー設定を使用すると、リムーバブル データ ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。 ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスを向上させることができます。
このポリシー設定を有効にした場合は、ハードウェア ベースの暗号化をサポートしていないデバイスでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御するオプションを指定できます。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定することもできます。
このポリシー設定を無効にした場合、BitLocker はリムーバブル データ ドライブでハードウェア ベースの暗号化を使用できません。また、ドライブの暗号化時に BitLocker ソフトウェア ベースの暗号化が既定で使用されます。
このポリシー設定を構成しない場合、BitLocker はハードウェア ベースの暗号化の可用性に関係なく、ソフトウェア ベースの暗号化を使用します。
注
[ ドライブの暗号化方法と暗号強度の選択 ] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。 ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。 既定では、BitLocker はドライブに構成されているアルゴリズムを使用してドライブを暗号化します。
[ ハードウェア ベースの暗号化に許可される暗号化アルゴリズムと暗号スイートを制限 する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。 ドライブに設定されたアルゴリズムを使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。 暗号化アルゴリズムは、オブジェクト識別子 (OID) によって指定されます。 次に、例を示します。
- CBC モード OID の AES 128:
2.16.840.1.101.3.4.1.2
- CBC モード OID の AES 256:
2.16.840.1.101.3.4.1.42
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ |
このポリシー設定では、BitLocker で保護されたリムーバブル データ ドライブのロックを解除するためにパスワードが必要かどうかを指定します。 パスワードの使用を許可する場合は、パスワードの使用を要求し、複雑さの要件を適用し、最小長を構成できます。
重要
複雑さの要件設定を有効にするには、グループ ポリシー設定の [パスワード] が[コンピューターの構成]、[Windows の設定]>、[Windows の設定>セキュリティ設定>Account ポリシー>パスワード ポリシー] にある複雑な要件も満たす必要があります。
このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 パスワードに複雑さの要件を適用するには、[ 複雑さが必要] を選択します。
- [ 複雑さが必要] に設定されている場合、パスワードの複雑さを検証するために BitLocker が有効になっている場合、ドメイン コントローラーへの接続が必要です。
- [ 複雑さを許可する] に設定されている場合、ドメイン コントローラーへの接続は、複雑さがポリシーによって設定された規則に準拠していることを検証しようとします。 ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さに関係なく受け入れられ、ドライブはそのパスワードを保護機能として使用して暗号化されます
- [ 複雑さを許可しない] に設定すると、パスワードの複雑さが検証されません
パスワードは 8 文字以上にする必要があります。 パスワードの最小長を大きく構成するには、[最小パスワード長] で目的の文字数を指定します
このポリシー設定を無効にするか、構成しない場合、8 文字の既定の長さの制約がオペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ |
このポリシー設定を使用すると、BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するためにスマート カードを使用できるかどうかを指定できます。
- このポリシー設定を有効にすると、スマート カードを使用してドライブへのユーザー アクセスを認証できます
- [リムーバブル データ ドライブでスマート カードを使用する必要がある] オプションを選択して、スマート カード認証を要求できます
- このポリシー設定を無効にした場合、ユーザーはスマート カードを使用して BitLocker で保護されたリムーバブル データ ドライブへのアクセスを認証できません
- このポリシー設定を構成しない場合、スマート カードを使用して BitLocker で保護されたドライブへのユーザー アクセスを認証できます
|
パス |
|
CSP |
使用不可 |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ |
リムーバブル ドライブでの BitLocker の使用を制御する
このポリシー設定は、リムーバブル データ ドライブでの BitLocker の使用を制御します。
このポリシー設定を有効にすると、ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。
- [ リムーバブル データ ドライブに BitLocker 保護を適用することをユーザーに許可 する] を選択して、ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします
- [ ユーザーがリムーバブル データ ドライブで BitLocker の一時停止と暗号化解除 を許可する] を選択して、ユーザーがドライブから BitLocker 暗号化を削除したり、メンテナンスの実行中に暗号化を中断したりできます
このポリシー設定を無効にした場合、ユーザーはリムーバブル ディスク ドライブで BitLocker を使用できません。
|
パス |
|
CSP |
./Device/Vendor/MSFT/BitLocker/
RemovableDrivesConfigureBDE |
|
GPO |
コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>リムーバブル データ ドライブ |
BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する
このポリシー設定は、デバイスがリムーバブル データ ドライブにデータを書き込むのに BitLocker 保護が必要かどうかを構成します。
このポリシー設定を有効にした場合:
- BitLocker で保護されていないリムーバブル データ ドライブはすべて、読み取り専用としてマウントされます
- ドライブが BitLocker によって保護されている場合は、読み取りと書き込みアクセスでマウントされます
-
[別のorganizationで構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの識別フィールドと一致する識別フィールドを持つドライブにのみ書き込みアクセス権が付与されます
- リムーバブル データ ドライブにアクセスすると、有効な識別フィールドと許可されている識別フィールドがチェックされます。 これらのフィールドは、(organizationの一意の識別子を指定する)[] ポリシー設定によって定義されます
このポリシー設定を無効にするか、構成しない場合、コンピューター上のすべてのリムーバブル データ ドライブが読み取りおよび書き込みアクセス権でマウントされます。
注
このポリシー設定は、ポリシー設定 の [リムーバブル ディスク: 書き込みアクセスの拒否] が有効になっている場合は無視されます。
重要
このポリシーを有効にした場合:
-
TPM スタートアップ キーまたは TPM キーと PIN での BitLocker の使用は禁止する必要があります
- 回復キーの使用を禁止する必要があります
リムーバブル データ ドライブにドライブ暗号化の種類を適用する
このポリシー設定は、リムーバブル データ ドライブでの BitLocker の使用を制御します。
このポリシー設定を有効にすると、BitLocker セットアップ ウィザードでは 暗号化の種類 オプションは提供されません。
- BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、 完全 暗号化を選択します
- BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[ 使用領域のみ 暗号化] を選択します
このポリシー設定を無効にするか、構成しない場合、BitLocker のセットアップ ウィザードは、BitLocker をオンにする前に暗号化の種類を選択するようにユーザーに求めます。
注
ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。
このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。 たとえば、 使用済み領域のみの暗号化 を使用しているドライブが展開されている場合、完全 暗号化を使用するドライブのように新しい空き領域はワイプされません。 ユーザーは、次のコマンドを使用して 、使用済み領域のみ ドライブの空き領域をワイプできます: manage-bde.exe -w。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。
暗号化から除外されたリムーバブル ドライブ
共通設定
オペレーティング システム ドライブ
固定データ ドライブ